Med denne kan du avverge DDoS-angrep
I sommer var det ett år siden Check Point installerte sin første DDoS Protector i Norge. Utallige angrep er blitt avverget.
PC World overvar nylig et simulert DDoS-angrep.
De beryktede DDoS-angrepene fortsetter å plage norske bedrifter.
Angrepene er kanskje ikke så store som før, men er til gjengjeld blitt mer målrettede, særlig mot bank og finans, fremholder norgessjefen for Check Point Software Technologies Ltd., Raymond Eivik.
DDoS står for Distributed Denial-of-Service og er samordnede angrep gjennom et stort antall datamaskiner. Angrepene fører til at datatrafikken hos den som blir angrepet, blir så stor at hele systemet kveles og går ned. Hensikten med et DDoS-angrep er altså å gjøre en datamaskin eller et nettverk utilgjengelig for de egentlige brukerne.
Sikkerhetsbransjen har lansert en rekke tiltak mot DDoS-angrep, men hos Check Point er man kommet frem til at det er så mange typer og avarter av DDoS-angrep at de fleste mottiltakene bare greier å stoppe en del former for angrep, ikke alle.
I juni i fjor installerte Check Point sin første DDoS Protector-løsning i Norge, og nå mener den norske Check Point-sjefen å kunne dokumentere at nettopp denne løsningen har greid å avverge en rekke angrep av så mange forskjellige typer at det må betegnes som en suksess.
Problemet er bare at de færreste bedrifter vil snakke åpent om trusler og sikringstiltak, og derfor kan ikke Eivik dele med oss noen suksesshistorier med navngitte bedrifter. Men han medgir at bank- og finansbransjen er sentrale instanser i dette bildet.
Simulert angrep
For en stund siden fikk PC World via videokonferanse være med på et simulert DDoS-angrep mot Check Points avdeling i Sverige. Formålet med demonstrasjonen var å vise hvor effektiv Check Points DDoS Protector-løsning er.
Løsningen har både maskin- og programvarekomponenter. Kjernen er en boks som plasseres mellom internett-tilknytningspunktet og brannmuren. Startprisen for løsningen ligger på i overkant av 100 000 kroner.
– Selv om brannmuren i en bedrift er en viktig del av beskyttelsen, er den dessverre også en flaskehals i den samme beskyttelsen. Derfor er det viktig at beskyttelsen starter utenfor brannmuren, forklarer Jim Öqvist.
Han er sikkerhetsingeniør for det europeiske markedet hos Check Point og kommuniserer med oss via videokonferanse mellom Stockholm og Oslo.
Blant de litt enklere beskyttelsestiltakene som ofte brukes mot DDoS-angrep, er systemer som baserer seg på fastsatte grenser for hvor mange forespørsler systemet kan ta imot innen en gitt tid. Hvis terskelen overskrides, bli trafikkøkningen tolket som et DDoS-angrep.
– Men det genereres mange falske alarmer ved slik terskel-basert beskyttelse, og løsningene kan også gi store driftskostnader, sier Öqvist.
Han kommer med eksempler på store salgskampanjer som et firma selv har satt i gang, for eksempel av typen «halv pris fra klokka 12», og som gir så brå trafikkvekst at det tolkes som et DDoS-angrep. Beskyttelsen holder dermed legitime kunder ute.
– Det man trenger, er et system som automatisk kan forstå atferden i trafikken med automatisk oppdatering og er i stand til å skille legitim økning i trafikken fra et DDoS-angrep, sier Ökvist.
Man trenger en løsning med flere beskyttelseslag og som i sanntid greier å generere forespørsler som analyserer hva slags type angrep det kan være snakk om. Og beskyttelsen må settes i verk både raskt og automatisk, for i en angrepssituasjon vil it-personalet fort bli stresset og kan lett gjøre feil.
På skjermen i Oslo ser vi hvordan grafen over trafikken plutselig spretter i været. På den ene monitoren detter trafikken raskt ned igjen til normalnivå – dette er fra målingen innenfor beskyttelsen. Den andre monitoren viser at trafikken utenfor fortsatt er stor.
Angrepet fortsetter altså, men forespørslene trenger ikke gjennom beskyttelsen som DDoS Protector gir og greier derfor ikke å utrette noen skade. For de ansatte i bedriften er it-systemet i helt normal drift.
Problemet for sikkerhetsfirmaer som Check Point er å få bedriftene til å ta sikkerhetstruslene så alvorlig som de bør. – Bankenes helpdesker jobber mer med å hjelpe kundene med sine personlige sikkerhetsløsninger enn med banktjenesten i seg selv, sier Eivik.
Öqvist følger opp: – Mediene skriver at det er nesten umulig å stanse DDoS-angrep. Jeg er helt uenig. Det er både mulig og faktisk forholdsvis lett. Men det krever en bevissthet om dette som mange bedrifter mangler i dag.
Hvem står bak DDoS-angrep?
Check Point skiller mellom tre hovedgrupper i spørsmålet om hvem som står bak DDoS-angrepene.
«Hacktivister» er grupper som søker etter størst mulig oppmerksomhet omkring et budskap. For bare noen uker siden opplevde Danmark et slik angrep i forbindelse med en arbeidskonflikt der lærere ble utsatt for lockout.
Nasjonalstat-baserte DDoS-angrep er ifølge Check Point trolig sanksjonert av statlige myndigheter. Målet er å stjele nasjonale hemmeligheter, og det er som regel store ressurser bak angrepene.
Finansmotiverte angrep er ofte en avledningsmanøver der målet er å stjele informasjon. Dette kombineres ofte med angrep der ofrene må betale «løsepenger» for å få frigitt dokumenter.
«DDoS As A Service»
Nytt er også at mens slike angrep tidligere krevde ekspertise, kan man nå få kjøpt tjenestene mot avtalt timepris.
De velkjente angrepene i fjor mot Norsk Tipping og DnB skal angivelig ha vært innkjøpte tjenester av denne typen.
Plan er viktig
Ifølge Check Point er noe av det viktigste for firmaene som vil beskytte seg mot DDoS-angrep, å sette opp en skikkelig plan – og ikke minst å teste at planen fungerer. Et DDoS-angrep oppleves som ekstremt stressende for it-medarbeiderne, på linje med branntilløp i bedriften, og da er det viktig at alle vet hva de skal gjøre.
For Check Point er det ikke et uventet budskap at selskapet også kan stille opp med et «response team» for å hjelpe truede bedrifter.
Mens Check Point i Norge nå altså kan markere ettårsjubileum for den første DDoS Protector-installasjonen i Norge, kan Check Point som selskap i år feire 20-årsjubileum. I Norge har selskapet nå åtte ansatte.
De blir neppe arbeidsledige. At det også i fremtiden vil bli stort behov for selskapets tjenester, er Check Point-folkene overbevist om. For eksempel fordi man forventer at fremtidige DDoS-angrep vil bli ledsaget av en ny type angrep der kryptering står sentralt.
Så lenge dagens pc-er brukes til de samordnede angrepene, har man ikke nok datakraft tilgjengelig for store, krypterte DDoS-angrep.
– Men en del webservere har nok datakraft til å generere krypterte angrep, så hvis man kan bygge opp botnettverk basert på slik maskinkraft, kan vi vente oss kraftige krypterte angrep i fremtiden, spår Öqvist.